ASA

Firewall : définition et fonctionnement

 14 MARS 2019 SÉCURITÉ ET ATTAQUES SUR INTERNET

DERNIÈRE MODIFICATION : 14 MARS 2019

/!\ Blocage de la pub détectée /!\

Vous diminuez les moyens dont nous disposons pour vous proposer des contenus de
qualités gratuits.
SVP laissez les publicités s'afficher ou soutenez le site :

 Faire un don - si vous ne voulez pas afficher les publicités

 Autoriser la politique de cookies et/ou désactiver les bloqueurs de publicité si vous en
utilisez un

Si vous vous intéressez un tant soit peu à la sécurité informatique, vous avez
probablement entendu parler des firewall ou pare-feu en français.

Vous ne savez pas exactement à quoi cela sert et comment un firewall fonctionne
globalement.

Dans cet article, vous trouverez une définition et explication avec quelques exemples de
pare-feu.
Le but est de vous faire comprendre à quoi servent les pare-feu.

Firewall : définition et fonctionnement

Table des matières

 1 Définition
 1.1 Les générations de firewall
 2 Les règles de pare-feu
 3 Autres fonctionnalités
  4 Quelques exemples de Pare-feux
 4.1 Firewall Windows
 5 Cisco ASA
 6 Iptables et NetFilter
 7 Exemples d’utilisation de firewall
 8 Les WAF

Définition
Un firewall ou pare-feu est un logiciel ou équipement réseau souvent placé entre deux
réseaux pour filtrer les connexions entre ces derniers.
Le pare-feu autorise ou refuse les connexions légitimes des connexions non légitimes.

Un Firewall sous la forme de boitier

Ces autorisations d’accès peuvent se faire à partir de règles établies par l’administrateur
ou de manière automatique selon par exemple le contenu des paquets réseaux qui
transitent.

Firewall ou Pare-feu

Avec un firewall, vous pouvez potentiellement bloquer le trafic malveillant provenant

d’une attaque ou le trafic sortant provenant d’un malware.
Vous pouvez aussi protéger l’accès à des services.
Par exemple, vous possédez un serveur Windows accessibles par internet en RDP,
vous pouvez filtrer l’accès à ce service sur des adresses IP spécifiques

Les générations de firewall

Les firewall apparaissent dans les années 80 mais il faudra attendre les années 90 pour
voir les premières solutions.
Plusieurs générations de pare-feu se succèdent par la suite, toujours plus perfectionnés.

La première génération filtre le contenu que sur les ports de connexion.

Ainsi, si vous possédez un site WEB qui tourne sur le port 80 (HTTP), vous devez
autoriser les accès sur ce port.
Toutefois si un malware écoute sur ce port, la connexion sera autorisée.
La seconde génération utilise le niveau 4 du modèle OSI, c’est à dire le mode de
transport.
Ainsi, cela permet de créer des règles sur le statut de connexion : nouvelle connexion,
connexion déjà établie.
Cela permet d’affiner les règles même si ces dernières restent assez limitées.

Puis la dernière génération de pare-feu peut comprendre et lire les protocoles applicatifs.
Ainsi par exemple, un pare-feu sait si un paquet concerne une application FTP ou HTTP.
Cela permet notamment de créer des pare-feu hybrides comme les WAF (Web Application
Firewall).
Enfin les boitiers firewall embarquent des antivirus ainsi que des IDS (Intrusion Detection
System pour système de détection d’intrusion) capable d’analyser les paquets.
Des signatures peuvent être intégrées afin de bloquer des paquets selon leurs
contenues afin de bloquer certaines attaques.
Les IDS peuvent par exemple bloquer un protocole spécifique par exemple du P2P
Bittorrent.

Les règles de pare-feu

Les pare-feux possèdent des fonctions similaires.
En général, on y trouve les règles qui seront appliquées par le pare-feu, celle-ci
comporte :

Les pare-feux possèdent des fonctions similaires.

En général, on trouve les règles qui seront appliquées par le pare-feu.
Ainsi lorsqu’un paquet est reçu ou part d’une interface réseaux contrôlées par par le
firewall, ce dernier applique les règles.

Celle-ci comporte généralement les données suivantes :

 Une source (adresse IP ou Hôte) et un port source

 Éventuellement si IPv4 ou IPv6
 Destination du même acabit que la source
 Le protocole de transport (TCP, UDMP, ICMP, etc)
 Enfin parfois on trouve le statut de la connexion (nouvelle, établie)

Les autorisations et blocages d’un pare-feu

Le firewall exécute alors les règles dans l’ordre, donc il est important de les ranger ces
dernières dans le bon ordre.
Par exemple, vous pouvez autoriser des connexion provenant de certaines adresses IP
en source vers un port particulier puis faire une règle qui interdit toutes les connexions
sur ce port.

Exemple de règles de pare-feu

Autres fonctionnalités
Les fonctionnalités du pare-feu sont généralement différents selon le type de pare-feu
(matériel, logiciel pare-feu Windows, etc).

On trouve aussi une tableau de bord avec des statistiques de connexions et les journaux
qui permettent de connaître les connexions bloquées ou autorisées par le firewall.

Les journaux des connexions IPtables d’une machine en Linux

Enfin il y a bien entendu des spécificités, par exemple, les pare-feux de Windows
peuvent générer des règles sur les applications installées.
On peut alors autoriser toute une application à se émettre des connexions sortantes ou
entrantes avec des ports spécifiques.

Les règles du pare-feu Windows

Les boîtiers Firewall offrent beaucoup plus de fonctionnalités, comme la possibilité de

gérer des DMZ ou des VPN.
Du côté du monitoring, ils proposent aussi des services SNMP.

Interface du StormShield Firewall

Quelques exemples de Pare-feux

Firewall Windows
Windows depuis Windows XP SP2 intègre un pare-feu.
Ce dernier est capable de filtrer les connexions entrantes et sortantes pour les
applications en cours d’exécution.
On peut aussi établir ses propres règles selon les protocoles, ports ou adresses IP.

Lorsqu’une nouvelle application tente d’émettre une connexion, une alerte de sécurité
s’affiche et l’utilisateur doit autoriser ou non.
A partir de là, une règle se créée afin d’autoriser ou non de manière permanente.

Alerte de sécurité du pare-feu de Windows

Une interface permet de gérer les règles d’applications mais aussi des règles plus
avancées.

Les règles avancées du pare-feu de Windows

Pour plus d’informations sur les pare-feu de Windows suivre l’article : Le fonctionnement
d’un pare-feu ou Firewall sur Windows

Il existe bien entendu beaucoup d’autres pare-feu pour Windows.

Globalement le fonctionnement de ces derniers s’avèrent identiques.
  Comodo Firewall
 ZoneAlarm
 Glasswire


Les règles de ZoneAlarm Firewall

Cisco ASA
Les Cisco ASA sont des boitiers Firewall qui existent sous différents modèles.
Dans l’exemple ci-dessous il s’agit d’un Cisco ASA 5005 proposé par OVH.
En effet, le firewall se place en amont d’un serveur dédié et permet de filtrer le flux
entrant et sortant.
Ce modèle n’est plus commercialisé.

Il existe un article sur le site : OVH et Firewall Cisco ASDM

Ce firewall possède des fonctions Anti-DoS et notamment si le une adresse IP source

dépasse une limite de nombre de connexion par secondes, les paquets suivants seront
droppés.

Voici les règles de pare-feu ainsi que toute la configuration.

Les règles de pare-feu d’un Cisco ASA

L’interface du tableau de bord avec des statistiques de connexion.

Le tableau de bord d’un firewall

et enfin les journaux du pare-feu avec les paquets dropés en temps réel.
Les journaux d’un firewall

Ici ce firewall s’utilisait pour protéger un site WEB mais il existe d’autres boitiers pare-feu
qui se placent souvent au sein d’un réseau d’entreprise

La plupart des éditeurs d’antivirus proposent leurs boitiers Firewall, il existe d’autres
boitiers comme StormShield, WatchGuard, etc

Règles Firewall d’un Dell SonicWALL

Iptables et NetFilter
NetFilter est une intégration d’un pare-feu dans le noyau Linux.
Ce dernier s’avère très complet puisqu’il permet de créer des règles statiques, intégrant
le statut de la connexion (nouvelle, établie, etc) ou encore sur le flag du paquets (SYN,
ACK, etc).
De plus iptables peut jouer sur des limites par exemple pour bloquer un nombre trop
importants de paquets sur un délai.

Il serait très long d’énumérer toutes les possibilités qu’offrent NetFilter.

Sur le site existe un tutoriel Iptables qui donne les grandes lignes de
fonctionnement : Tutoriel Iptables

Exemple de règles iptables basiques

Exemples d’utilisation de firewall

On trouve des firewall plus ou moins sophistiqués dans la plupart des équipements
réseaux.
Par exemple, votre routeur ou box possède des fonctionnalités de pare-feu car elle est
capable de lire et manipuler les paquets réseaux reçus.

De même les systèmes d’exploitations Linux ou Windows embarquent un pare-feu, cela

permet de protéger les services réseaux qui tournent sur ces derniers des attaques
automatisées et notamment des vers informatiques.
Cela est important dans un réseau très importants de plusieurs centaines d’ordinateurs.

Enfin, dans un réseau plus important, le Firewall se place souvent entre chaque réseau
pour créer une DMZ (Zone démilitarisée).
Le but est de compartimenter le réseau et notamment bien mettre à l’écart les serveurs
qui ont à la fois un pied sur internet et un pied sur le LAN.
Par exemple dans le schéma ci-dessous, le pare-feu filtre les connexions entre le
routeur internet les services www, SMTP, DNS.
On trouve enfin un second firewall pour filtrer les connexions entre le LAN et la DMZ.
Les WAF
Les WAF pour Web Access Firewall sont des pare-feu sur un serveur WEB.
Ces derniers fonctionnement globalement comme un pare-feu mais sur les requêtes
HTTP.
Le but est de filtrer les requêtes WEB et ainsi bloquer des requêtes malveillantes faisant
parties des attaques.
Enfin, les WAF peuvent aussi aider contre les attaques DDoS.

Pour plus d’informations sur ces derniers, suivre l’article : WAF : Web Application Firewall

Les WAF (Web Access Firewall)